SEハンドブック（構成サンプル）

本ドキュメントではニフクラを通じて、商談対応や要件定義、システム設計をされる皆様に提供してきた 利用者がニフクラで設計をする際のナレッジ(実商談で培われたナレッジ)を、システムを設計するうえでのポイントをカテゴリに分類して提供します。

本ドキュメントで、記載しているサービスに関して利用できるゾーン、リージョンが限定されている場合があります。各サービスでの提供ゾーン/リージョンは 最新のニフクラ仕様ページを確認してください。

ナレッジとして記載した情報の粒度は、実際の商談対応や要件定義、システム設計の問い合わせに対する回答の粒度です。具体的には、以下のような問い合わせに対する回答を集約して、ナレッジとして記載しています。

利用者がニフクラでシステムを構成する際に必要な知識を習得できます。

システムに対する要求事項のうちシステム構成の課題を解決するために構成サンプルを提示できます。

ニフクラが提供するサービスや機能を利用するか、あるいは利用者側でミドルウェアなどを手配してニフクラの仮想サーバーに導入するかの判断を、商談や要件定義などの早い段階で行えます。

ニフクラのシステム構成に関するナレッジを習得することで、システム設計の後工程になって問題が発生するような事態を抑制できます。

仮想サーバー、ルーター等に適用可能なファイアウォールグループをWebFWという名称で作成します。

ファイアウォールグループは、プロトコル(TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all)、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数リソースを同一ファイアウォールグループに所属させることが可能です。

Incomingに関して、デフォルトではすべて拒否されます。

Outgoingに関して、デフォルトではすべて許可されます。

ファイアウォールルールではプロトコル、宛先ポート、接続元(先)種別、IP/CIDR・グループを設定します。

ファイアウォールルールでは許可するルールのみ指定が可能です。

同一のファイアウォールグループに所属させた仮想リソース間はルールに関係なくアクセスが許可されます。

仮想サーバーを配備する前に(配備時でも作成可能)、必ず、ファイアウォールグループでアクセス制御を設定してください。

適切なアクセス制御を設定しないで仮想サーバーを配備した場合、不正なアクセスを受ける可能性があります。

本章では、ファイアウォールグループを作成した後、仮想サーバーなどを配備するようにしています。

ニフクラRDBに適用可能なファイアウォールグループをDBFWという名称で作成しルールを設定します。

ニフクラRDBを配備する前に(配備時でも作成可能)、必ず、DBファイアウォールグループでアクセス制御を設定してください。

適切なアクセス制御を設定しないでニフクラRDBを配備した場合、不正なアクセスを受ける可能性があります。

本章では、DBファイアウォールグループを作成した後、ニフクラRDBを配備するようにしています。

デフォルトでは すべて拒否されます。

ファイアウォールルールでは接続元種別、IPアドレス・グループを設定します。

ファイアウォールルールでは許可するルールのみ指定が可能です。

接続元種別としてCIDRか、IaaSで作成したファイアウォールグループの指定が可能です。

ニフクラRDBを配備する前に(配備時でも作成可能)、必ず、DBファイアウォールグループでアクセス制御を設定してください。

適切なアクセス制御を設定しないでニフクラRDBを配備した場合、不正なアクセスを受ける可能性があります。

本章では、DBファイアウォールグループを作成した後、ニフクラRDBを配備するようにしています。

ネットワークの設定後、仮想サーバーを作成します。
まず、仮想サーバー作成の準備として、Linux系の仮想サーバーへログインする際に使用するSSHキーを作成します。
SSHキー作成時にダウンロードが可能な秘密鍵は、*.pemという名称になります。

作成したSSHキーは作成した仮想サーバーへログインする際に利用します。
仮想サーバーがLinux系OSの場合は、TeraTermなどのSSHクライアントを用いて、作成した*.pemを利用する設定をして仮想サーバーにSSHでログインします。

Windowsの場合は仮想サーバーを作成時に管理者アカウント、パスワードを設定できるためそのアカウント、パスワードで仮想サーバーにリモートデスクトップでログインします。

作成したSSHキーは、厳重に保管/管理してください。

この構成では、Linux系OSで作成します。(本章でSSHログイン可能な設定にしています。)

仮想サーバーの作成時には、以下の項目を設定します。

ニフクラRDBを利用すると、手間のかかる構築/運用をニフクラ側に任せることができます。

同一のゾーン内で冗長化が可能です。(冗長構成では、ニフクラRDBが配備される物理サーバーは別筐体になります。)

主系のデータベースが障害時に、自動的に従系を主系として切り替えるフェイルオーバー機能が提供されています。

プライベートブリッジの作成・設定はコントロールパネルから行います。

次にDBサーバーを冗長化する際の同期に利用するためのプライベートLANに所属する追加NICを各ゾーンで1個ずつ作成します。

追加NICはプライベートLANに対して作成します。

ルーターを作成し、プライベートLAN間を接続します。
ルーターの配備時にはファイアウォールグループで作成したRouterFWを適用します。

ルーター名

ゾーン

タイプ

料金プラン

メモ

ネットワーク設定

ファイアウォール設定

ルータータイプ

IPアドレス

ネットワーク設定後、「SSHキーの準備」に従いSSHキーを作成し、各ゾーンでWebサーバー、DBサーバーを作成します。

この構成では、Linux系OSで作成します。(「ファイアウォールグループの作成」で、SSHログイン可能に設定しています。)

仮想サーバーのOS(CentOS,Windows等)

仮想サーバーを配備するゾーン

サーバータイプ

サーバー名

メモ

料金プラン

SSHキー(Linux系OSの場合)

ファイアウォール（ 「ファイアウォールグループの作成」のWebFW、DBFWを指定）

ネットワークグローバルIPアドレスを利用するかプライベートネットワークの指定（「プライベートLANの実装」のプライベートブリッジに接続していないプライベートLAN指定）

スクリプト

複数のゾーン構成ではニフクラが提供しているニフクラRDBでは冗長構成を実装できません。そのため複数ゾーンの構成では冗長構成を利用者で実装する必要があります。実装方法、留意事項などは「ニフクラ個別設計・移行設計指針 1.データベース」章を参照してください。

上記図では追加NICを利用して接続しているプライベートLANを同期用のネットワークとして利用する構成になります。

仮想サーバーの構築作業、ロードバランサー（L4）やデータベース仮想サーバーの設定作業が完了したら、ロードバランサー（L4）のアクセス制御を変更(設定無し)します。

ロードバランサー（L4）(80/TCPなど)へのアクセスを、不特定のアクセス元から接続可能な設定に変更します。

各仮想サーバーのルーティング(片方のゾーン障害時の考慮も合わせて)は別途検討してください。

なお本章の構成では、WebサーバーへSSHでログインする設定としています。

SSHでログインするサーバーを別のログイン専用サーバーとして用意すると、サービス提供用のサーバーとメンテナンス用のサーバーとを分離できるため、セキュリティが向上します。